Atualização: em abril de 2016, o WhatsApp ganhou criptografia para todo tipo de mensagem em todas as plataformas. Saiba mais aqui. O texto original (de junho/2015) segue abaixo.

Em novembro, o WhatsApp anunciou que protegeria suas mensagens usando criptografia: isso seria ativado por padrão no Android e chegaria “em breve” ao iOS. Esta poderia ser a maior implementação de criptografia ponta-a-ponta já feita, expandindo-se para 600 milhões de usuários.

Então, esta semana, a Bloomberg publicou uma notícia sobre a Bélgica prender dois suspeitos de participarem de grupos terroristas. O texto termina mencionando o WhatsApp:

Investigadores disseram anteriormente que haviam detido 16 pessoas nos ataques antiterror depois de trabalharem com autoridades dos EUA para monitorar as comunicações dos suspeitos no serviço de mensagens da WhatsApp Inc.

A BBC diz algo semelhante:

Ambos os grupos terroristas teriam se comunicado utilizando o serviço de mensagens WhatsApp, e os investigadores disseram que autoridades norte-americanas lhes deram ajuda no rastreamento das mensagens.

Se as mensagens são criptografadas no WhatsApp, como as autoridades dos EUA – provavelmente a NSA e o FBI – conseguiram descobrir os terroristas?

Criptografia no WhatsApp

A criptografia de ponta a ponta só dá as chaves de segurança para as duas pessoas envolvidas na conversa: em tese, mesmo que o WhatsApp seja pressionado a entregar seus dados, eles simplesmente não teriam como descriptografar as mensagens.

Mas, segundo um teste da Heise em abril, o WhatsApp só usa criptografia nas mensagens enviadas entre dispositivos Android:

… em nossos testes, smartphones Android enviavam exclusivamente mensagens criptografadas de ponta a ponta (E2E) para destinatários capazes de criptografia E2E, e essas mensagens foram criptografadas de acordo com o protocolo TextSecure. Sempre que nós testamos isto com clientes iOS, as mensagens recebidas não eram protegidas dessa forma.

Além disso, de acordo com o anúncio oficial em novembro, o app para Android não criptografa chats em grupo nem mensagens com fotos ou vídeo.

Por enquanto, o WhatsApp não avisa se suas mensagens forem protegidas (ou não) por criptografia. Moxie Marlinspike, responsável pelo protocolo TextSecure usado no WhatsApp, diz no Reddit que “vamos exibir informações na interface de usuário quando a implementação da criptografia estiver completa”.

Metadados

E mesmo que os jihadistas estivessem enviando mensagens criptografadas, os EUA poderiam recorrer aos metadados das conversas – ou seja, quando elas foram enviadas e a partir de qual celular. Como explica o Ars Technica:

Mesmo que algumas das mensagens tivessem sido protegidas por criptografia, é possível que o FBI ou a NSA tenha recolhido metadados das mensagens no servidor. Esses metadados poderiam ser utilizados para estabelecer as conexões entre os suspeitos e o jihadista ferido, o que teria permitido às agências norte-americanas ou belgas fazer uma vigilância mais direcionada.

Ou seja, a implementação da criptografia no WhatsApp ainda está em andamento; e mesmo que ela seja expandida, você ainda poderia ser alvo de espionagem.

Concorrência

Bem, se você quiser conversar com outras pessoas para planejar algo secreto – seja bom ou ruim – melhor não usar um serviço de chat associado a um número de celular, e cujo dono é o Facebook.

Isto é o que a equipe do Telegram tem a dizer sobre criptografia:

Nós temos suporte a duas camadas de criptografia segura. A criptografia entre cliente e servidor é usada em chats privados e em grupo; bate-papos secretos usam uma camada adicional de criptografia entre um cliente e outro. Todos os dados, independentemente do tipo, são criptografados da mesma forma – seja ele texto, mídia ou arquivos.

E eis o que o Viber diz:

Todas as mensagens de texto enviadas pelo Viber nas plataformas compatíveis são criptografadas. Mensagens de mídia, como fotos e vídeos, são criptografadas no Viber para iOS, Viber para Android, Viber para Windows 8 e Viber para Windows Phone 8.

Claro, há serviços bem mais secretos, criados especificamente para conversas seguras: entre eles, estão o BitTorrent Bleep, CryptoCat, TextSecure e Silent Text. A Electronic Frontier Foundation analisou diversas ferramentas, e os resultados estão aqui.

WhatsApp e Facebook ainda não se pronunciaram sobre o assunto. [Ars Technica e Hacker News]

Foto por Microsiervos Geek Crew/Flickr